Nariadenie č. 315 / 2021 Z. z.
Vyhláška o úrovni bezpečnosti využívania cloud computingu verejnými orgánmi
Platný
Uznesenie
Účinnosť od 01.09.2021
Verzie znenia:
01.09.2021
31.08.2021
315
VYHLÁSENIE
z 24. augusta 2021,
o úrovni bezpečnosti využívania cloud computingu verejnými orgánmi
Podľa článku 28 ods. 2 písm. a) zákona č. 181 / 2014 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení súvisiacich zákonov (zákon o kybernetickej bezpečnosti), zmeneného a doplneného zákonom č. 205 / 2017 Z. z., ("zákon"), Národný úrad pre kybernetickú a informačnú bezpečnosť stanovuje:
Predmet úpravy
Táto vyhláška stanovuje úrovne bezpečnosti využívania cloud computingu verejnými orgánmi podľa § 6 písm. e) zákona.
Vymedzenie pojmov
Na účely tohto dekrétu:
(a) požadovaný informačný alebo komunikačný systém cloud computingu ako celok alebo jeho časť, ktorý sa môže prevádzkovať prostredníctvom cloud computingu a ktorý je verejný orgán povinný zahrnúť do úrovne bezpečnosti;
(b) časť informačného alebo komunikačného systému taká časť systému, ktorá je jasne oddeliteľná, zabezpečuje cielenú a systematickú informačnú činnosť (1), môže byť prevádzkovaná cloud computingom a je vymedzená z hľadiska funkčných kategórií, architektúry, prevádzkového modelu a bezpečnosti;
(c) oblasti vplyvu vymedzené v oblasti, v ktorej môže mať incident v oblasti kybernetickej bezpečnosti vplyv na požadovanú cloud computing, ochranu osobných údajov, trestné právo, verejnú politiku, medzinárodné vzťahy, riadenie a prevádzku, dôveryhodnosť, finančný model alebo poskytovanie služieb;
(d) úroveň vplyvu nízkej, strednej, vysokej alebo kritickej hodnoty zodpovedajúca vplyvu incidentu v oblasti kybernetickej bezpečnosti na cloud computing požadovanú v každej oblasti vplyvu.
Úrovne bezpečnosti
Úroveň bezpečnosti využívania cloud computingu verejnými orgánmi vyjadruje možné účinky incidentu v oblasti kybernetickej bezpečnosti na požadovanú cloud computingu. Úroveň bezpečnosti je nízka, stredná, vysoká alebo kritická.
Klasifikácia požadovaného cloud computingu do úrovne bezpečnosti
(1) Začlenenie požadovaného cloud computingu do úrovne bezpečnosti vykoná verejný orgán v súlade s prílohou k tomuto dekrétu. Verejný orgán posúdi splnenie úrovne vplyvu, ktorý je dopyt po cloud computingu schopný dosiahnuť v každej oblasti vplyvu. Úroveň vplyvu v každej oblasti vplyvu je spôsobená najhorším možným vplyvom incidentu v oblasti kybernetickej bezpečnosti.
(2) Pri určovaní najhoršieho možného vplyvu incidentu v oblasti kybernetickej bezpečnosti verejný orgán zohľadní možné porušenie dôvernosti, integrity a dostupnosti požadovaného cloud computingu a povahu informačného alebo komunikačného systému, ktorým je cloud computing požadovaný ako celok. Ak je požadovaným cloud computingu len časť informačného alebo komunikačného systému, zohľadní aj vzťah tejto časti k úrovni bezpečnosti informačného alebo komunikačného systému ako celku.
(3) Úroveň bezpečnosti používania požadovaného cloud computingu verejným orgánom je rovnaká ako najvyššia úroveň vplyvu, ktorý sa dosiahol požadovaným cloud computingom pri posudzovaní jednotlivých oblastí vplyvu.
(4) Informačný alebo komunikačný systém, ktorý je dôležitým informačným systémom podľa zákona, zodpovedá vysokej úrovni bezpečnosti, ak je dopyt po cloud computingu taký informačný alebo komunikačný systém ako celok a ak verejný orgán nie je zahrnutý do kritickej úrovne bezpečnosti v súlade s postupom uvedeným v predchádzajúcich odsekoch.
(5) Informačný alebo komunikačný systém, ktorý je podľa zákona kritickou informačnou infraštruktúrou, zodpovedá kritickej úrovni bezpečnosti, ak je dopyt po cloud computingu taký informačný alebo komunikačný systém ako celok.
(6) Maximálna úroveň bezpečnosti informačného alebo komunikačného systému ako celku sa nastaví aspoň pre jednu časť informačného alebo komunikačného systému, ktorá predstavuje dopyt po cloud computingu.
(7) Verejný orgán vykoná písomný záznam o procese určovania úrovne bezpečnosti cloud computingu požadovanej podľa predchádzajúcich odsekov. Vzor písomného záznamu uverejní na svojej webovej stránke národný orgán pre bezpečnosť informačných technológií.
Účinnosť
Toto nariadenie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení.
Riaditeľ:
Ing. Grécko
Príloha k vyhláške č. 315 / 2021 Zb.
Úrovne a oblasti vplyvu na začlenenie požadovaného cloud computingu do úrovne bezpečnosti
| Úroveň dopadu | Oblast dopadu | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| A. Bezpečnost a zdraví lidí | B. Ochrana osobních údajů | C. Trestněprávní řízení | D. Veřejný pořádek | E. Mezinárodní vztahy | F. Řízení a provoz | G. Důvěryhodnost | H. Finanční model | I. Zajišťování služeb | |
| 1. Nízká | Nemůže vést ke zranění jednotlivce ani skupiny lidí. | Nemůže ovlivnit | Nemůže vytvořit podmínky pro páchání | Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek. | Nemůže negativně ovlivnit obraz České republiky v zahraničí. | Nemůže narušit řádné fungování nebo řízení ani části orgánu veřejné moci, nebo může narušit řádné fungování části nebo celého orgánu veřejné moci, avšak nemůže závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Nemůže negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální. | Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné moci. | Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob. |
| 2. Střední | Může vést ke zranění jednotlivce nebo skupiny nejvíce 100 lidí. | Může negativně ovlivnit | Může vytvořit podmínky pro páchání | Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady. | Může negativně ovlivnit obraz České republiky v sousedních státech. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální. | Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob. |
| 3. Vysoká | Může vést ke zranění skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí. | Může negativně ovlivnit | Může vést k narušení vyšetřování trestné činnosti nebo soudního řízení v rámci | Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady. | Může negativně ovlivnit obraz České republiky ve světě. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobě mezinárodní. | Může vést k finančním ztrátám ve výši přesahující 5 % a maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob. |
| 4. Kritická | Může vést ke zranění skupiny více než 2 500 lidí nebo přímému ohrožení nebo ztrátě života skupiny více než 250 lidí. | Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky. | Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo zpochybnění soudního řízení v rámci | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může negativně ovlivnit nebo poškodit diplomatické vztahy České republiky. | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může vést k finančním ztrátám přesahujícím 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který |
Skupiny kritérií vplyvu B. Ochrana osobných údajov
(1) Prvý súbor kritérií pozostáva z týchto kritérií:
a) osobné údaje sa spracúvajú s cieľom umožniť dotknutej osobe vykonávať alebo konať v mene dotknutej osoby bez ďalšieho odkladu v súvislosti so škodou na úcte, dobrej povesti alebo charaktere alebo tým, že dotknutej osobe umožní odobrať služby, tovar alebo v prípade potreby zbierať peniaze alebo iné aktíva v mene dotknutej osoby;
b) osobné údaje sa spracúvajú podľa toho, podľa ktorého je dotknutá osoba zaradená do skupiny s časovo obmedzenou alebo špecifickou zraniteľnosťou;
(c) spracúvanie osobných údajov sa vykonáva, ktoré je dotknuté alebo sa dá odôvodnene očakávať, že ovplyvní 5 000 až 10 000 dotknutých osôb;
d) osobné údaje sú verejne dostupné neobmedzenému počtu orgánov alebo osôb a
e) spracúvanie osobných údajov systémom prepojeným s iným spracúvaním, ktoré vykonáva ten istý prevádzkovateľ údajov alebo iní prevádzkovatelia osobných údajov.
(2) Druhá skupina kritérií pozostáva z týchto kritérií:
(a) spracúvanie osobitných kategórií osobných údajov alebo údajov vysoko osobnej povahy, najmä finančných údajov o stave majetku, výške finančných prostriedkov, dlhu alebo pôžičiek alebo platobnej morálke, záznamy o histórii súkromných volaní dotknutých osôb, údaje z elektronickej pošty dotknutých osôb a podobne;
(b) spracúvanie osobných údajov sa vykonáva, ktoré je dotknuté alebo sa odôvodnene očakáva, že ovplyvní viac ako 10 000 dotknutých osôb; a
c) uskutočňuje sa automatizované rozhodovanie, ktoré má vplyv na dotknutú osobu.
1) § 2 písm. a) zákona č. 365/2000 Zb. o informačných systémoch verejnej správy a o zmene a doplnení niektorých iných zákonov v znení neskorších predpisov.
Prihláste sa pre poznámky, obľúbené a upozornenia
Informácie o predpise
| Citácia | Vyhláška č. 315/ 2021 Z. z. o bezpečnostných úrovniach využívania cloud computingu verejnými orgánmi |
|---|---|
| Typ predpisu | Uznesenie |
| Autor | - |
| Zbierka | Zbierka zákonov |
| Dátum vyhlásenia | 31.08.2021 |
|---|---|
| Účinnosť od | 01.09.2021 |
| Účinnosť do | - |
| Stav | Platný |
Verejné zmluvy 5
Smlouva o dílo - Provedení studie variantního řešení obnovy datových center Ministerstva kultury
Česká republika - Ministerstvo kultury
Ing. Roman Kalný, CSc.
199 650 Kč
05.08.2025
Migrace do Microsoft 365
Národní knihovna České republiky
KSP Computer & Services, s.r.o.
1 125 300 Kč
13.06.2025
Elektronické potvrzení o studiu pro vysokoškolské studenty – eSIMS
Ministerstvo školství, mládeže a tělovýchovy
Gappex s.r.o.
1 593 570 Kč
07.04.2025
Smlouva o poskytování služeb cloud computingu
Město Horní Slavkov
Aricoma Systems a.s.
688 139 Kč
19.02.2024
Smlouva o zajištění provozu programového rpduktu GINIS Expres SQL
Základní škola a Mateřská škola Tábor, Čekanice, P...
GORDIC spol. s r.o.
14.09.2023
Upozornenia
Upozornenia
Zdroj:
Hlídač štátu
(CC BY 3.0 CZ)
Znenie predpisu má informatívny charakter.
Komentáre 0